กลุ่มแฮกเกอร์ ShinyHunters อ้างขโมยข้อมูล Saleforce 1.5 พันล้านรายการ จากองค์กร 760 แห่งทั่วโลก

หลังจากมีการแจ้งเตือนการขโมยข้อมูลระบบ Saleforce โดยพุ่งเป้าไปยังแพลตฟอร์มการตลาดและการสื่อสารกับลูกค้า Salesloft และ Drift ล่าสุดกลุ่มแฮกเกอร์ ShinyHunters ออกมาอ้างว่าได้ขโมยข้อมูลรวมกว่า 1.5 พันล้านรายการจากแพลตฟอร์ม Salesforce จากองค์กรมากถึง 760 แห่งทั่วโลก โดยอาศัยช่องโหว่จากโทเคน OAuth ที่เกี่ยวข้องกับบริการ Drift และ Salesloft นับเป็นหนึ่งในกรณีโจมตีข้อมูลครั้งใหญ่ที่สร้างความกังวลอย่างมากต่อวงการธุรกิจและไอที

การโจมตีครั้งนี้เริ่มต้นจากการที่โทเคน OAuth ของแพลตฟอร์ม Drift และ Drift Email หลุดออกมาในซอร์สโค้ดของ Salesloft บน GitHub ซึ่งถูกตรวจพบด้วยเครื่องมือ TruffleHog ที่สามารถค้นหาข้อมูลสำคัญหรือ secrets ได้ แฮกเกอร์จึงนำโทเคนเหล่านี้ไปใช้เข้าถึงระบบ Salesforce ขององค์กรต่าง ๆ ที่เชื่อมโยงกับแพลตฟอร์มดังกล่าว ส่งผลให้พวกเขาสามารถดึงข้อมูลจำนวนมหาศาลออกมาได้

ข้อมูลที่ถูกขโมยครอบคลุมหลายส่วนของ Salesforce ไม่ว่าจะเป็น Account, Contact, Case, Opportunity และ User โดยมีตัวเลขชัดเจนว่าเพียงเฉพาะข้อมูล Contact ก็มีมากถึง 579 ล้านเรคคอร์ด ข้อมูล Case กว่า 459 ล้านเรคคอร์ด และข้อมูล Account กว่า 250 ล้านเรคคอร์ด

ซึ่งข้อมูลประเภท Case นั้นน่ากังวลเป็นพิเศษ เนื่องจากอาจมีรายละเอียดเกี่ยวกับการสนับสนุนลูกค้า ข้อความการสื่อสาร หรือแม้กระทั่งความลับทางธุรกิจที่สามารถนำไปขยายผลโจมตีต่อได้

Google Threat Intelligence (Mandiant) ออกมาเตือนว่า ข้อมูล Case ที่หลุดออกมานี้อาจถูกแฮกเกอร์นำไปตรวจสอบเพิ่มเติมเพื่อค้นหาความลับอื่น ๆ เช่น คีย์การเข้าถึง โทเคน หรือรหัสผ่านที่เกี่ยวข้องกับระบบของเหยื่อ และอาจนำไปสู่การโจมตีระบบภายในได้อย่างรุนแรงมากขึ้น

ทั้งนี้ยังมีรายงานว่าบริษัทขนาดใหญ่อย่าง Google, Palo Alto Networks, Cloudflare, Zscaler, Nutanix, Tenable, Elastic และ CyberArk ต่างก็อยู่ในกลุ่มที่ได้รับผลกระทบเช่นกัน

สำหรับการตอบสนอง Salesforce แนะนำให้ลูกค้าทุกรายเร่งตรวจสอบระบบและดำเนินมาตรการด้านความปลอดภัยอย่างเข้มงวด โดยเฉพาะการเปิดใช้งาน Multi-Factor Authentication การจำกัดสิทธิ์การเข้าถึงตามหลัก least privilege และการตรวจสอบแอปพลิเคชันที่เชื่อมต่อกับ Salesforce ว่ามีความปลอดภัยเพียงพอหรือไม่ ขณะเดียวกัน องค์กรควรทบทวนกระบวนการพัฒนาและการจัดการซอร์สโค้ดเพื่อป้องกันไม่ให้ secrets รั่วไหล รวมถึงการนำระบบจัดการ secrets เข้ามาใช้และหมุนเวียนคีย์อย่างสม่ำเสมอ

ที่มา